PROCEDIMIENTO Y SISTEMA PARA EJECUCIÓN SEGURA DE CONTENIDO DE POCA CONFIANZA.

Un procedimiento de restricción de acceso de contenido a unos recursos para un sistema que tiene un mecanismo (78) de seguridad proporcionado por un sistema (35) operativo que determina el acceso de unos procesos (94) a unos recursos (142,

146) basándose en una información en un testigo de acceso asociada con cada uno de los procesos (94) frente a una información (144, 148) de seguridad asociada con cada uno de los recursos (142, 146), comprendiendo el procedimiento las etapas de, configurar un proceso (132) para el contenido, deducir un testigo (134) de acceso restringido a partir de un testigo de acceso, determinar una información (136) de restricción basándose en una información que se corresponde con el contenido, modificar dicho testigo (134) de acceso restringido con una información (136) de restricción, y usar el testigo (134) de acceso restringido como el testigo de acceso del proceso (132) del contenido

Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/US1999/012912.

Solicitante: MICROSOFT CORPORATION.

Nacionalidad solicitante: Estados Unidos de América.

Dirección: ONE MICROSOFT WAY REDMOND, WA 98052 ESTADOS UNIDOS DE AMERICA.

Inventor/es: WARD, RICHARD B., SHAH,Bharat, CHAN,Shannon,J, JENSENWORTH,Gregory, GOERTZEL,Mario,C, SWIFT,Michael,M.

Fecha de Publicación: .

Fecha Solicitud PCT: 9 de Junio de 1999.

Clasificación PCT:

  • G06F1/00 FISICA.G06 CALCULO; CONTEO.G06F PROCESAMIENTO ELECTRICO DE DATOS DIGITALES (sistemas de computadores basados en modelos de cálculo específicos G06N). › Detalles no cubiertos en los grupos G06F 3/00 - G06F 13/00 y G06F 21/00 (arquitecturas de computadores con programas almacenados de propósito general G06F 15/76).

Clasificación antigua:

  • G06F1/00 G06F […] › Detalles no cubiertos en los grupos G06F 3/00 - G06F 13/00 y G06F 21/00 (arquitecturas de computadores con programas almacenados de propósito general G06F 15/76).

Países PCT: Austria, Bélgica, Suiza, Alemania, Dinamarca, España, Francia, Reino Unido, Grecia, Italia, Liechtensein, Luxemburgo, Países Bajos, Suecia, Mónaco, Portugal, Irlanda, Finlandia, Chipre.

PDF original: ES-2368200_T3.pdf

 


Fragmento de la descripción:

Procedimiento y sistema para ejecución segura de contenido de poca confianza Campo de la invención La invención se refiere en general a sistemas informáticos, y más particularmente a las mejoras en seguridad para sistemas informáticos. Antecedentes de la invención Históricamente, el contenido ejecutable podía instalarse únicamente en un sistema informático trayendo físicamente medios magnéticos al ordenador y haciendo que alguien con privilegios administrativos lo instalara. En la actualidad, sin embargo, Internet ha hecho muy sencillo y popular para los usuarios informáticos ordinarios la descarga de contenido ejecutable tal como programas, páginas de HTML y controles. En muchos casos, el contenido ejecutable puede descargarse y ejecutarse a través de Internet sin que el usuario se dé cuenta siquiera de que tal acontecimiento ha tenido lugar. De forma similar, los usuarios informáticos pueden recibir correo electrónico o noticias que contienen unos archivos que incluyen un contenido ejecutable, tal como programas ejecutables y/o documentos que contienen macros, y además, el correo o noticias en sí mismos pueden ser una página de HTML. La apertura de un mensaje de este tipo o unos datos adjuntos en el mismo expone el sistema del destinatario a cualquier contenido ejecutable que esté presente. Desafortunadamente, tal contenido ejecutable a menudo no sigue las reglas, por ejemplo, puede ser malicioso y destruir datos de forma intencionada en la máquina del cliente, ser propenso a errores y dar lugar a que la máquina del cliente se bloquee, o ser bienintencionado aunque descuidado y divulgar una información confidencial acerca del cliente. A pesar de que estos tipos de problemas informáticos han existido con anterioridad en la forma de virus y troyanos, la omnipresente presencia de la World Wide Web ha hecho que estos problemas se extiendan, y en algunos casos fuera de control. En el lado de servidor, los servidores web lanzan unos programas de servidor tales como unas secuencias de comandos de CGI en nombre de los clientes y devuelven unos datos a partir de los programas de vuelta a los clientes. La fuente de tales secuencias de comandos no se controla necesariamente de forma cuidadosa, ni están bien escritas todas de tales secuencias de comandos. Como resultado, las secuencias de comandos de CGI pobremente escritas han dado lugar a que máquinas de servidor web se bloqueen o se ralenticen usando demasiados recursos informáticos. Además, un cliente malicioso puede confundir unos programas de servidor pobremente escritos para realizar acciones que no debería realizar, tales como ejecutar otras aplicaciones o escribir o leer datos a o desde un almacenamiento. En último lugar, algunos servidores web incluso permiten a un programa de cliente que envíe secuencias de comandos al servidor para que se ejecuten en nombre del cliente, lo que supone muchos peligros. En general, los entornos operativos de cliente y de servidor no están protegidos de forma adecuada frente a un contenido ejecutable que no sigue las reglas. Al mismo tiempo, debido a que tanto contenido ejecutable es valioso, la necesidad de ser capaz de recibir y ejecutar un contenido ejecutable continúa creciendo a pesar de los riesgos intrínsecos de contenido de poca confianza. El documento EPA0 588 415 describe un autorizador de conexión punto a punto que implica tres entidades diferentes: un mecanismo autorizador de sistema, un administrador de conexión de cliente, y un administrador de conexión de servidor. El autorizador de sistema se encuentra en la CPU principal o primaria mientras que el cliente y los administradores de conexión de servidor se encuentran en unos procesadores de entrada/salida individuales. Para obtener una información que precisa un usuario y/o un programa de aplicación, el administrador de conexión de cliente emite una petición para el autorizador de sistema. Cuando el autorizador de sistema recibe la petición, en primer lugar verifica que el dispositivo de cliente es quien pretende ser. Si el autorizador de sistema determina que se debe permitir al dispositivo de cliente obtener acceso a la información solicitada, entonces envía un testigo al dispositivo de servidor y una copia del mismo testigo al dispositivo de cliente. Tras la recepción de la copia de testigo a partir del autorizador de sistema, el administrador de conexión de cliente empaqueta la copia de testigo en el interior de un mensaje que envía al dispositivo de servidor. Cuando el administrador de conexión de servidor recibe el mensaje a partir del dispositivo de cliente, compara la copia de testigo con el testigo que ha recibido a partir del autorizador de sistema. Si los testigos se corresponden, el administrador de conexión de servidor responde al dispositivo de cliente y la conexión se establece. El testigo de acuerdo con el documento EPA0 588 415 comprende una dirección de IOP de cliente, un recurso de IOP de cliente, el momento del día y un valor aleatorio. La dirección de IOP de cliente es un campo que contiene la ubicación del IOP de cliente. El recurso de IOP de cliente es un campo que contiene la identificación del recurso que está solicitando la información. El campo de momento del día y el campo de valor aleatorio se usan para fines de unicidad y de cifrado en caso de que se precisara de una seguridad adicional. Sin embargo, un testigo regular de este tipo de correspondencia sencilla puede usarse sólo para identificar a un usuario específico. Si se concede el acceso al sistema a dicho usuario, el acceso de unos procesos de dicho usuario 2   a unos recursos se permitirá siempre basándose en los derechos de acceso asociados a dicho usuario. Sumario de la invención Es, por lo tanto, el objeto de la presente invención es proporcionar un contexto de ejecución restringida para restringir los recursos a los que puede obtener acceso un contenido determinado. El objeto precedente se solventa mediante el contenido de las reivindicaciones independientes. Las realizaciones preferidas son el contenido de las reivindicaciones dependientes. Brevemente, la presente invención proporciona contextos de ejecución restringida para un contenido de poca confianza (tal como código ejecutable, HTML dinámico, controles de Java o de ActiveX) que restringe los recursos a los que puede obtener acceso el contenido. Un proceso restringido se configura para un contenido de poca confianza, y cualquier acción que intenta el contenido se somete a las restricciones del proceso, que se basan en diversos criterios. Siempre que un proceso intenta obtener acceso a un recurso, un testigo restringido asociado con cada proceso se compara frente a una información de seguridad del recurso para determinar si se permite el tipo de acceso. La información de seguridad del recurso por lo tanto determina si un proceso, y por lo tanto el contenido de poca confianza, puede obtener acceso al recurso, y si es así, el tipo de acceso que se permite. El contenido de poca confianza incluye unos datos descargados a partir de sitios web, y cada uno de tales sitios tiene un proceso restringido configurado para el mismo basándose en la identidad del sitio y en la zona en la que se clasifica el sitio. Las API y los ayudantes de proceso habilitan al sitio web para obtener acceso su propio sitio, archivos y claves de registro, mientras que las ACL en otros recursos no relacionados con el sitio restringen el acceso de ese sitio tal como se desee, basándose en la identidad del sitio, en la zona o en otros criterios. Otro contenido de poca confianza incluye unos mensajes de correo electrónico o noticias junto con cualesquiera conjuntos de datos adjuntos al mismo. Tal contenido se ejecuta de forma similar en un contexto de ejecución restringida en el que las restricciones se basan en unos criterios tales como la identidad del remitente. Los servidores también pueden ejecutar un contenido de poca confianza tal como unas secuencias de comandos y procesos de cliente en el contexto de una ejecución restringida, mediante lo cual las restricciones pueden basarse en unos criterios tales como el autor de la secuencia de comandos, el procedimiento de autenticación de cliente usado, y/o cualquier otra información disponible para el servidor indicativa de cómo puede ser el contenido respecto a si es de confianza o de poca confianza. Otras ventajas se harán evidentes a partir de la siguiente descripción detallada cuando se toma junto con los dibujos, en los que: Breve descripción de los dibujos la figura 1 es un diagrama de bloques que representa un sistema informático en el que puede incorporarse la presente invención; la figura 2 es un diagrama de bloques que representa en general la creación de un testigo restringido a partir de un testigo existente; la figura 3 es un diagrama de bloques que representa en general los diversos componentes para determinar si un proceso... [Seguir leyendo]

 


Reivindicaciones:

1. Un procedimiento de restricción de acceso de contenido a unos recursos para un sistema que tiene un mecanismo (78) de seguridad proporcionado por un sistema (35) operativo que determina el acceso de unos procesos (94) a unos recursos (142, 146) basándose en una información en un testigo de acceso asociada con cada uno de los procesos (94) frente a una información (144, 148) de seguridad asociada con cada uno de los recursos (142, 146), comprendiendo el procedimiento las etapas de, configurar un proceso (132) para el contenido, deducir un testigo (134) de acceso restringido a partir de un testigo de acceso, determinar una información (136) de restricción basándose en una información que se corresponde con el contenido, modificar dicho testigo (134) de acceso restringido con una información (136) de restricción, y usar el testigo (134) de acceso restringido como el testigo de acceso del proceso (132) del contenido. 2. El procedimiento según la reivindicación 1 en el que el contenido comprende unos datos que se obtienen a partir de una fuente de poca confianza. 3. El procedimiento según la reivindicación 2 en el que la fuente de poca confianza es un disco flexible. 4. El procedimiento según la reivindicación 2 en el que el contenido escribe un archivo en el sistema, y que además comprende las etapas de generar un identificador de seguridad restringida que se corresponde con el sitio, añadir el identificador de seguridad a la información de seguridad del archivo, y almacenar el archivo en el sistema. 5. El procedimiento según la reivindicación 2 en el que el contenido escribe un archivo en el sistema, y que además comprende la etapa de redirigir una ruta proporcionada por el contenido a una ruta asociada con el sitio. 6. El procedimiento según la reivindicación 2 en el que los datos comprenden unos datos de red y la fuente de poca confianza es un sitio de red. 7. El procedimiento según la reivindicación 6 en el que el sitio es un sitio de Internet, y la etapa de determinar una información de restricción incluye la etapa de generar un identificador de seguridad a partir de una información única del sitio de Internet. 8. El procedimiento según la reivindicación 7 en el que la información única comprende un identificador de certificado binario del sitio de Internet. 9. El procedimiento según la reivindicación 7 en el que la información única comprende un Localizador Uniforme de Recursos (URL) del sitio de Internet, y en el que la etapa de generar un identificador de seguridad incluye la etapa de convertir el URL en el identificador de seguridad restringida. 10. El procedimiento según la reivindicación 9 en el que la etapa de convertir el URL en el identificador de seguridad restringida incluye la etapa de ejecución de una función hash sobre el URL con una función hash criptográfica. 11. El procedimiento según la reivindicación 1 en el que el contenido comprende un mensaje de correo electrónico. 12. El procedimiento según la reivindicación 11 en el que la etapa de determinar una información de restricción incluye las etapas de determinar el remitente del mensaje. 13. El procedimiento según la reivindicación 12 en el que la etapa de determinar el remitente del mensaje incluye la etapa de autenticar el remitente. 14. El procedimiento según la reivindicación 1 en el que el contenido comprende una secuencia de comandos. 15. El procedimiento según la reivindicación 14 en el que el sistema es un servidor, y en el que la etapa de determinar una información de restricción incluye la etapa de determinar cómo se autenticó el cliente para el servidor. 16. El procedimiento según la reivindicación 1 en el que el contenido comprende unos datos descargados a partir de un sitio, que además comprende las etapas de determinar una zona que se corresponde con el sitio, y en el que la etapa de añadir la información de restricción a un testigo de acceso restringido incluye la etapa de añadir un identificador de seguridad restringida que se corresponde con la zona al testigo de acceso restringido. 17. El procedimiento según la reivindicación 1 que además comprende la etapa de obtener acceso al recurso a través de un ayudante de proceso. 18. El procedimiento según la reivindicación 17 en el que el ayudante de proceso extrae una información asociada con el contenido a partir del testigo restringido. 19. El procedimiento según la reivindicación 17 que además comprende las etapas de detectar en una interfaz de programación de aplicación un intento de obtener acceso a un recurso a partir del proceso que tiene al testigo restringido como su testigo de acceso, y en respuesta, llamar al ayudante de proceso para obtener acceso al 16   recurso, y devolver una información a partir del ayudante de proceso al proceso que tiene al testigo restringido como su testigo de acceso. 20. El procedimiento según la reivindicación 17 que además comprende la etapa de ajustar la información de seguridad del recurso para permitir obtener acceso al ayudante de proceso y denegar el acceso al proceso que tiene al testigo restringido como su testigo de acceso. 21. El procedimiento según la reivindicación 1 que además comprende la etapa de colocar el proceso en el interior de un objeto de trabajo. 22. El procedimiento según la reivindicación 1 en el que el contenido intenta obtener acceso a un registro de sistema, y que además comprende la etapa de redirigir una ubicación de registro proporcionada por el contenido a una ubicación de registro asociada con el contenido. 23. Un sistema para restringir la obtención de acceso de contenido a unos recursos (142, 146) para un sistema informático, que comprende, un proceso (132) configurado para el contenido, un mecanismo de discriminación para determinar al menos un identificador (136) de seguridad restringida basándose en una información que se corresponde con el contenido, un mecanismo para crear un testigo (134) de acceso restringido para el proceso (132) añadiendo el al menos un identificador (136) de seguridad restringida al testigo (134) de acceso restringido, y un mecanismo de seguridad para determinar el acceso del proceso (132) de contenidos a un recurso (142, 146) comparando una información en el testigo (134) de acceso restringido con la información de seguridad (144, 148) asociada con el recurso (142,146). 24. El sistema según la reivindicación 23 en el que el contenido comprende unos datos descargados a partir de un sitio. 25. El sistema según la reivindicación 24 en el que el sitio es un sitio de Internet, y en el que el mecanismo de discriminación genera un identificador de seguridad restringida a partir de una información del sitio de Internet. 26. El sistema según la reivindicación 25 en el que la información del sitio de Internet comprende un identificador de certificado binario del sitio de Internet. 27. El sistema según la reivindicación 25 en el que la información del sitio de Internet comprende un Localizador Uniforme de Recursos (URL), y que además comprende un convertidor para convertir el URL en el identificador de seguridad restringida. 28. El sistema según la reivindicación 27 en el que el convertidor incluye una función hash criptográfica unidireccional. 29. El sistema según la reivindicación 23 en el que el contenido comprende un mensaje de correo electrónico. 30. El sistema según la reivindicación 29 en el que el mecanismo de discriminación determina un identificador de seguridad restringida basándose en el remitente del mensaje. 31. El sistema según la reivindicación 23 en el que el contenido comprende una secuencia de comandos. 32. El sistema según la reivindicación 23 en el que el sistema es un servidor, y en el que un identificador de seguridad restringida se genera según cómo se autenticó el cliente para conectarse con el servidor. 33. El sistema según la reivindicación 23 que además comprende un ayudante de proceso para extraer una información asociada con el contenido a partir del testigo restringido y para obtener acceso al recurso en nombre del proceso. 34. El sistema según la reivindicación 23 que además comprende un objeto de trabajo, en el que el proceso se ejecuta en el objeto de trabajo. 35. El sistema según la reivindicación 23, en el que el contenido comprende una pluralidad de contenido dispuesto en sitios web diferentes, teniendo el contenido de cada sitio web un proceso (132) configurado para el mismo. 17   18   19     21   22   23   24     26   27   28   29     31   32   33   34     36

 

Patentes similares o relacionadas:

MÉTODO PARA LA ELIMINACIÓN DEL SESGO EN SISTEMAS DE RECONOCIMIENTO BIOMÉTRICO, del 24 de Junio de 2020, de UNIVERSIDAD AUTONOMA DE MADRID: Método para eliminación del sesgo (por edad, etnia o género) en sistemas de reconocimiento biométrico, que comprende definir un conjunto de M muestras de Y personas diferentes […]

Sistema y método para una salida digital pervasiva de dispositivo a dispositivo, del 23 de Octubre de 2019, de Flexiworld Technologies, Inc: Un método de salida de datos para transmitir de forma inalámbrica, en uno o más dispositivos de salida, contenidos digitales a los que se accede mediante un […]

Método y programa de autenticación de usuario, y aparato de formación de imágenes, del 15 de Mayo de 2019, de RICOH COMPANY, LTD.: Un método de autenticación de usuario para un aparato de formación de imágenes que se puede conectar a través de una red a un aparato de […]

Derechos divididos en dominio autorizado, del 27 de Febrero de 2019, de KONINKLIJKE PHILIPS N.V: Un método para controlar el acceso a un elemento de contenido en un sistema que comprende un conjunto de dispositivos, constituyendo el conjunto […]

Método y programa de autenticación de usuario, y aparato de formación de imágenes, del 20 de Febrero de 2019, de RICOH COMPANY, LTD.: Un método de autenticación de usuario para un aparato de formación de imágenes que se puede conectar a través de una red a un aparato […]

Método y sistema para realizar una transacción y para realizar una verificación de acceso legítimo o uso de datos digitales, del 7 de Febrero de 2019, de Ward Participations B.V: Método para realizar una transacción electrónica entre una primera parte de transacción y una segunda parte de transacción usando un dispositivo electrónico operado […]

Método y sistema para realizar una transacción y para realizar una verificación de acceso legítimo o uso de datos digitales, del 16 de Enero de 2019, de Ward Participations B.V: Método para realizar una transacción electrónica entre una primera parte de transacción y una segunda parte de transacción usando un dispositivo […]

Aparato de formación de imágenes, método de borrado y método de gestión de disco duro, del 25 de Octubre de 2018, de RICOH COMPANY, LTD.: Un aparato de formación de imágenes que incluye unos recursos de soporte físico que se van a usar para un proceso de formación de imágenes, al menos un programa para llevar […]

Utilizamos cookies para mejorar nuestros servicios y mostrarle publicidad relevante. Si continua navegando, consideramos que acepta su uso. Puede obtener más información aquí. .